宮城県サイバーセキュリティ協議会事務局（宮城県警察本部生活安全部サイバー犯罪対策課）からのお知らせです。警察庁から本日（９月１５日）付けで、件名についての注意喚起がなされております。

〇　WordPressの脆弱性

Wordfence社から、ウェブサイト構築に使用される主要なオープンソースソフトウェアであるWordPressについて脆弱性に関する情報が公表されたもの。

1　脆弱性の概要

　今回脆弱性( CVE-2022-3180、cvssスコア9.8)が発見されたのは、ウェブサイト管理者がサイトのバッ　

　クアップ、サイトにおいて利用する拡張機能(プラグイン)の管理等を行うために利用される　

　「WPGateway」と呼ばれる拡張機能。

　　脆弱性を悪用することで、認証されていない攻撃者が管理者権限を持つ不正なユーザを追加し、ウェブ　

　サイトを乗っ取ることが可能となる。

　同脆弱性によるウエプサイトの侵害については、rangexという名称の管理者権限が作成されているかに　　

　よって確認することができる。

2　対策方法として伝えるべき事項   当該拡張機能の削除。

  ・「rangexという管理者権限が作成されていないか確認する。

  ・WordPressの最新化(拡張機能も含め)を実施する。

  ・被害発生時には警察にも相談する。

【参考リンク先】

PSA: Zero-Day Vulnerability in WPGateway Actively Exploited in the Wild